Los investigadores de seguridad han revelado más información sobre el grupo de ransomware Qilin, que recientemente atacó al sector de la salud con una demanda de rescate de 50 millones de dólares. El ataque a Synnovis, un proveedor de servicios de patología, afectó significativamente a varios hospitales clave del NHS en Londres a principios de este mes. Desde su identificación en julio de 2022, Qilin ha ganado notoriedad por ofrecer Ransomware-as-a-Service (RaaS) en foros clandestinos, a partir de febrero de 2023. Inicialmente evolucionando a partir del ransomware Agenda escrito en Go, Qilin desde entonces ha hecho la transición a Rust, lo que refleja un cambio hacia una construcción de malware más robusta y eficiente. Qilin ha estado notablemente activo durante los últimos dos años, comprometiendo a más de 150 organizaciones en 25 países y afectando a varias industrias. Investigaciones anteriores han proporcionado información sobre las operaciones administrativas del grupo y la red de colaboradores, arrojando luz sobre sus sofisticadas técnicas. Explicación de las tácticas de Qilin Hoy, los investigadores de Group-IB han publicado una entrada de blog que describe las tácticas de Qilin, comenzando con los métodos para obtener acceso inicial. El grupo explota principalmente vulnerabilidades conocidas en los dispositivos Fortinet y el software Veeam Backup & Replication. También realizan intentos de fuerza bruta en dispositivos VPN. Para su ejecución, Qilin normalmente coloca un archivo malicioso en un directorio específico, que requiere una contraseña para ejecutarse, que se codifica para que coincida con sus datos de configuración. La escalada de privilegios se logra a través de herramientas integradas como Mimikatz, lo que permite al ransomware robar tokens de usuario y lanzar procesos con privilegios elevados. Qilin también se destaca en la evasión de defensa, eliminando sistemáticamente los registros del sistema y utilizando comandos de PowerShell para borrar los rastros de sus actividades. Puede deshabilitar o modificar las herramientas de seguridad en función de subcadenas y expresiones regulares especificadas en su configuración. Lea más sobre el malware centrado en PowerShell: «PowerDrop» El malware de PowerShell apunta a la industria aeroespacial estadounidense Qilin explota vulnerabilidades para extraer credenciales y propagarse lateralmente a través de redes utilizando herramientas como PsExec y VMware vCenter. El impacto es severo, ya que el ransomware inhibe la recuperación del sistema al eliminar copias de seguridad y copias de seguridad, cifrando los datos mediante algoritmos robustos como AES-256 CTR y ChaCha20. La operación concluye con un reinicio del sistema, lo que dificulta aún más los esfuerzos de recuperación. Según el análisis de Group-IB, el ransomware Qilin representa una amenaza importante en el panorama de la ciberseguridad, que se adapta continuamente a través de asociaciones RaaS. “Las técnicas empleadas por los diferentes operadores pueden variar significativamente, lo que lo convierte en un desafío en constante evolución para las defensas de seguridad”, explicó la empresa. El monitoreo continuo y el análisis en profundidad, entre otras prácticas de seguridad, son esenciales para mantenerse por delante de este actor de amenazas.